Apple wil weergave 2FA-sms standaardiseren om de veiligheid te verbeteren

Bijgewerkt op: 7 sep. 2021


Apple WebKit-ontwikkelaars willen de weergave van 2fa-sms-berichten standaardiseren, om het gebruik van de berichten beter te kunnen automatiseren. Nu maakt ieder 2fa-systeem gebruik van andere berichten, wat volgens de ontwikkelaars niet optimaal is en zelfs gevaarlijk kan zijn.



Omdat er nu geen standaard is voor 2fa-sms-berichten, moeten websites die automatisch gebruik willen maken van dergelijke berichten, volgens de Apple WebKit-ontwikkelaars leunen op heuristiek. Dit betekent dat dergelijke systemen zoeken naar de snelste oplossing, ook al is het niet per se de beste oplossing. Heuristiek kan volgens de ontwikkelaars leiden tot fouten en kunnen zelfs gevaarlijk zijn, al leggen de ontwikkelaars niet uit wat ze hiermee bedoelen.

Wel zeggen de ontwikkelaars in hun voorstel dat de 2fa-berichten vaak niet melden van welke website ze komen. Daardoor zouden gebruikers de 2fa-berichten onbewust in malafide websites kunnen invoeren. Als gebruikers zien dat de link in hun browser niet overeenkomt met de bronwebsite in het sms-bericht, zou dat voorkomen kunnen worden.


De Apple WebKit-ontwikkelaars stellen daarom voor om de 2fa-sms-berichten te standaardiseren. Systemen die dan gebruikmaken van de berichten, kunnen ze dan beter vinden. De ontwikkelaars stellen een sms-bericht voor, waarbij de eerste regel in een voor mensen begrijpelijke tekst is geschreven en de tweede regel voor de computersystemen is geschreven.


In het voorbeeld van een 2fa-bericht voor de website foobar.com, zou het sms-bericht er zo uitzien: '747723 is your FooBar authentication code. @foobar.com #747723'. In dit voorbeeld is de eerste regel voor mensen bedoeld en optioneel. In de tweede regel geeft de site achter het @-teken de bronwebsite aan, in dit geval foobar.com. De code achter het #-teken geeft de one-time code die voor 2fa is bedoeld.

Het doel van dit gestandaardiseerde 2fa-bericht is tweeledig. Enerzijds willen de ontwikkelaars voorkomen dat gebruikers zelf de one-time code moeten invoeren in hun browser. Anderzijds moeten websites erop kunnen vertrouwen dat de codes alleen worden ingevoerd op de website waar ze vandaan komen.


De ontwikkelaars zeggen een 'vroegere versie' van de gestandaardiseerde 2fa-berichten in iOS 12 en Safari 12 te hebben geplaatst. Google-ontwikkelaars zouden achter het plan staan. Wat Firefox van het voorstel vindt, is onbekend. Bron: Tweakers


1 weergave0 opmerkingen